Microsoft, en son Patch Tuesday güncellemesiyle birlikte, Windows ürünlerinde yer alan 49 CVE etiketli Wi-Fi güvenlik açığını kapattı. Bu güvenlik açıklarından biri, 10 üzerinden 9.8 CVSS şiddet derecesiyle kritik olarak değerlendirildi ve “en olası istismar” kategorisine giriyor. Bu kritik hata, aynı ortak Wi-Fi ağını kullanan herkesin uzaktan saldırı gerçekleştirmesine olanak tanıyor.
Microsoft, kritik Wi-Fi açığını kapatmak için bir güncelleme yayınladı. Bu güvenlik açığı, Microsoft Message Queuing (MSMQ) sistemindeki bir uzaktan kod yürütme (RCE) sorunundan kaynaklanıyor. Bir saldırgan, özel olarak hazırlanmış kötü niyetli bir MSMQ paketi göndererek, savunmasız bir Windows sisteminde (örneğin Windows Server kutusu) rastgele kod çalıştırabilir. Bu hata, Windows 11, Windows 10 ve Windows Server 2008 ve sonraki sürümleri etkiliyor.
RCE güvenlik açıkları, fiziksel erişim gerektirmediği için tehlikeli. Bu durumda, saldırganların aynı Wi-Fi ağına bağlı olması yeterli oluyor. Saldırganlar, savunmasız bir cihaza özel olarak hazırlanmış bir ağ paketi göndererek kolayca bu hatayı kötüye kullanabilirler. Bu durum, özellikle kütüphane, kahve dükkanı veya havaalanı gibi halka açık yerlerde çalışmayı seven kişiler için tehlike arz ediyor.
Microsoft, bu güvenlik açığının vahşi doğada istismar edildiğine dair herhangi bir kanıt bulunmadığını belirtti. Ancak, bir güvenlik açığı yayınlandığında, kötü niyetli aktörlerin hızla harekete geçmesi olağan bir durum. Mayıs 2024’te yamalanan ve aktif olarak istismar edilen iki sıfır gün güvenlik açığına (CVE-2024-30040 ve CVE-2024-30051) kıyasla, bu açık için herhangi bir istismar tespit edilmedi.
Bu güncelleme, Microsoft için nispeten küçük bir yama olarak nitelendiriliyor. Zero Day Initiative’ten Dustin Childs’a göre, üçüncü parti CVE’ler de dahil edildiğinde, bu ay belgelenen CVE sayısı aslında 58’e ulaşıyor. Microsoft ayrıca Windows 11 Build 26241 beta sürümünü de kullanıma sundu. Bu sürüm, Dosya Gezgini’nde dosyaları taşımayı kolaylaştıran yeni bir özellik içeriyor.
Kullanıcılar, Dosya Gezgini Adres Çubuğu’ndaki kırıntılar arasında sürükle-bırak yöntemiyle dosya taşıyabilecekler. Ayrıca, Dosya Gezgini’nde seçili dosya veya klasörleri daha kolay görmek için ince bir sınır eklendi. Bu beta sürümü, Dosya Gezgini’nin Ana sayfasına gitme sırasında çökmesine neden olan temel bir sorunu da düzeltti.
